r   e   k   l   a   m   a
r   e   k   l   a   m   a

ePUAP mozolnie niełatany. Mimo prac Comarchu, łatwo obejść dwuskładnikowe uwierzytelnianie

Strona główna AktualnościBEZPIECZEŃSTWO

Po którejś kolejnej awarii systemu ePUAP, minister Cyfryzacji Anna Streżyńska powiedziała, że należałoby go „zaorać”, gdyby nie powiązane z nim środki unijne. Może jednak się okazać, że naprawianie i łatanie systemu będzie podatnika kosztowało więcej, niż wynosi wartość unijnego dofinansowania. O tym, jak bowiem wygląda w praktyce naprawianie ePUAP-u pod egidą nowego Centralnego Ośrodka Informatyki (COI) niech świadczy wpis w Niebezpieczniku, przedstawiający historię luki, która pozwalała na obejście dwuskładnikowego uwierzytelnienia.

Jak każdy nowoczesny serwis, przechowujący wrażliwe dane osobowe, ePUAP oferuje dwuskładnikowe uwierzytelnianie. Poza loginem i hasłem wymagany jest dodatkowy kod, przesyłany oddzielnym kanałem komunikacji. W maju jeden z czytelników Niebezpiecznika odkrył jednak, że zabezpieczenie to łatwo obejść. Wystarczy na stronie ePUAP-u podać login i hasło, a po wyświetleniu okna dialogowego z pytaniem o kod autoryzacyjny, wystarczy okno to zamknąć, poczekać kilkadziesiąt minut – i gotowe. Podczas kolejnej próby logowania uzyskiwało się dostęp bez pytania o kod. Prawdopodobnie problem dotyczył obsługi wyjątku: gdy system nie doczekał się kodu, wciąż kontynuował proces logowania, zmieniając stan sesji tak, że przy następnym logowaniu uznawana ona była już za uwierzytelnioną.

54 dni tworzenia niełatki

COI, które miało się zająć z woli minister Streżyńskiej naprawianiem ePUAP-u, otrzymało jeszcze w maju zgłoszenie o błędzie. W odpowiedzi poinformowało Niebezpiecznik, że problem jest znany, łatkę zamówiono zaś od zewnętrznej firmy. Poproszono też o trzymanie sprawy w tajemnicy do momentu usunięcia luki w zabezpieczeniach, o czym COI oczywiście poinformuje. Mijały kolejne tygodnie, luka wciąż była niezałatana, aż w końcu 11 lipca Niebezpiecznik odezwał się do COI. Wtedy wyjaśniono, że Comarch (ten sam Comarch, którego prezes tak bardzo wątpi w wartość startupów) już łatkę dostarczył, a wdrożenie zaplanowano na najmniej inwazyjny dzień – sobotę, 16 lipca.

r   e   k   l   a   m   a

Faktycznie, poprawkę wdrożono w deklarowanym czasie. Efekt był taki, że na konto ePUAP można było wciąż zalogować się bez kodu jednorazowego, ponieważ… serwis w ogóle przestał pytać o kodu jednorazowy (mimo że w ustawieniach konta włączona była opcja o taki kod pytania). Wczoraj musiano znów coś zmienić, ponieważ serwis zaczął ponownie pytać się o kod jednorazowy, tyle że pytanie to można było przeczekać tak samo, jak poprzednim razem. Jedyne, co naprawiła łatka Comarchu, to ładowanie stylów CSS: wcześniej po obejściu weryfikacji dodatkowym hasłem strona czasem ładowała się nieostylowana, teraz ten „problem” już nie występuje.

COI i Comarchowi zajęło więc 54 dni niezałatanie luki, która niewątpliwie była znana tym podmiotom jeszcze dłużej. Ile kosztowała ta niepoprawka?

Są też dobre strony

Niebezpiecznik słusznie jednak zauważa, że może taki stan rzeczy ma też swoje dobre strony, pomoże tym wszystkim nieszczęśnikom, którzy utracili dostęp do swojego konta e-mail czy telefonu, a miały włączone dwuskładnikowe uwierzytelnianie. Okazuje się bowiem, że nie ma żadnej procedury odzyskania dostępu w takich wypadkach, nawet udanie się do urzędu i wylegitymowanie nic nie pomaga. Jedynym rozwiązaniem jest unieważnienie profilu zaufanego, a następnie przejście całej procedury rejestracji nowego profilu zaufanego, tracąc w ten sposób dokumenty na unieważnionym koncie i marnując mnóstwo czasu. Dzięki tej wciąż niezałatanej luce można zalogować się normalnie, na login i hasło, a potem wyłączyć dwuetapowe uwierzytelnianie w ustawieniach konta.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.